NAC 随 Cisco IOS 软件 12.3 ( 8 ) T 在从 Cisco 800 系列路由器到 Cisco 7200 系列路由器的所有思科接入路由器中提供 。另外,思科网络安全治理和接入产品也支持这个特性,例如思科安全接入控制服务器( ACS )、思科安全代理和 CiscoWorks 安全信息治理解决方案( SIMS ) 。
保持端点清洁只是第一步,还需要实施其它防护措施 。其它威胁包括篡改、窃听和中间人攻击等 。入侵者利用中间人攻击获取信息,包括截获信息,复制或篡改信息,然后重新传回原始接收人 。在这种情况下,从表面上看,原始双方仍然能够相互直接通信 。
可以治理的 PKI 体系结构
为保护敏感通信,Cisco IOS 软件提供了许多特性 。随着网络的增长,数据安全机制的治理变得越来越繁琐,因此,软件中融入了许多 PKI 新特性,以便简化公用和专用密钥加密的供给和治理 。
例如,网络治理员可以人工治理端口数低于 100 的 IPSec VPN 的共享密钥 。但是,假如 VPN 的端点数增长到数百个或者数千个,人工治理和使用共享密钥就会变得非常困难,尤其是在完全网状配置中应用 IPSec 网络安全性的时候 。
思科的 PKI 实施方案为公用—专用密钥加密提供了一个可以扩展的治理系统 。用户的公用密钥由 PKI 证书权威机构( CA )集成到数字证书中 。数字证书不但能用于确认设备的身份和网络访问权限,还可以为分布设备的加密密钥材料提供一种信任机制 。
思科的技术营销经理 Brian Stiff 说:“ PKI 可以为数十万用户提供服务 。它不但提供了内置防护功能,例如定期检查证书的有效期,还可以确定每位证书持有人有权访问的内容 。对于大中型 IPSec VPN,PKI 非常必要 。”
Cisco IOS 软件首先在 Cisco IOS 软件 12.3 ( 4 ) T 中使用了集成式 CA —— PKI 的基础 。在这个版本中,网络中的一台路由器作为 CA,网络安全基础设施中的所有设备都通过它注册 。
最近,Cisco IOS 软件 12.3 ( 8 ) T 利用称为轻松安全设备部署( EzSDD )的 GUI 特性简化了证书的部署 。利用 EzSDD,可以直接将远程路由器送至目的地,由用户从包装箱中取出,接上电源,然后输入引导 URL 、用户名和密码 。路由器将自动利用安全注册机制对自己进行登记,并接收自行配置,设置基本的参数或者与供给系统联络 。
假如没有 EzSDD,公司必须将所有远程站点路由器送至部署中心,等安全设备配齐之后再将设备送往远程站点 。
另外,为解决数字证书的有效期和撤回问题,思科最近增加了软件特性 。以前,人们对 PKI 的担心是,在证书已被撤回和保存证书状态信息的数据库刷新之间的这段时间里,证书撤回表( CRL )中的信息可能会过期,从而留下一个短期安全漏洞 。
为弥补这个安全漏洞,思科为 Cisco IOS 软件增加了两个特性 。首先,思科 PKI 验证、计帐和授权( AAA )特性能够提供安全设备证书核实机制与 AAA 服务器证书核实机制之间的连接 。其次,Cisco IOS 软件目前还支持 IETF 标准网上证书状态协议( OCSP ),通过从分布式路由器提供实时证书状态检查解决了失效 CRL 问题 。
OCSP 服务器直接与颁发用户证书的 CA 服务器相连(可能已经撤回) 。OCSP 服务器可以立即了解相关信息,例如证书是否有效 。
在思科路由器上实施的 OCSP 能够直接向 OCSP 服务器查询证书的状态 。OCSP 服务器可以检查证书撤回数据库,并立即返回信息,说明证书的有效状态 。
新 IOS 特性举例
路由器软件特性 版本
网络准入控制( NAC ) 12.3 ( 8 ) T
内部入侵防范系统 12.3 ( 8 ) T
轻松安全设备部署( ExSDD ) 12.3 ( 8 ) T
推荐阅读
- 天猫聚划算要合并是真的吗?天猫聚划算要合并详情介绍
- iphone6能更新ios12吗
- 恋爱记APP邀请另一半的操作方法
- 长虫是什么动物
- BEFSR81-具有QoS功能的EtherFast Cable/DSL路由器
- 茄子黑心的防治措施
- iphone11有没有指纹
- 若行若飞的意思
- 623051开头的是什么银行的
- 22首度试飞之V6娱乐功能篇